網絡器械的示例(包括但不限于滿足如下要求的器械或系統(tǒng))
a. 可以與其他器械/系統(tǒng)通訊;
b. 有一個網絡/服務器連接或有可能將來與網絡/服務器(目前已經禁用了的)連接;
c. 有可能使用未使用的端口進行網絡連接;
d. 使用了任何形式的無線通信,例如藍牙�、Wi-Fi,蜂窩���、RF��、感應;
e. 有一個USB端口/物理媒介端口(例如記憶卡��、JTAG);
f. 允許進行軟件/固件下載(例如��,軟件/固件升級或打補丁);
g. 允許云存儲或云服務����。
●歐盟針對醫(yī)療器械網絡安全的要求
歐盟于2020年7月更新發(fā)布了醫(yī)療器械網絡安全指南MDCG2019-16 Rev.1.
指南中匯總了MDR法規(guī)附錄I關于網絡安全的要求(見下圖),其中有一部分是醫(yī)療器械通用的要求(如14.1�����,14.4���,14.5��,17.1��,22.1����,23.1)�,該指南也給出了如何滿足這些要求的詳細指導。
上圖中所適用的MDR法規(guī)要求同樣也適用于IVDR法規(guī)EU 2017/746 �����,比對關系如下表
MDCG 2019-16指南中關于醫(yī)療設備網絡安全風險管理的具體要求如下:
網絡安全風險管理
網絡安全(Cybersecurity)風險管理過程與產品安全風險管理流程具有相同的要素�����,所有要素都記錄在網絡安全風險管理計劃中。流程要素包括網絡安全風險分析�、網絡安全風險評估、網絡安全風險控制�、剩余網絡安全風險評估和報告。當網絡安全風險或控制措施可能對安全性(safety)和有效性產生影響時(如下圖所示)��,應將其納入安全風險評估����。同樣,任何可能對網絡安全產生影響的產品安全風險控制或考慮都應包括在網絡安全風險分析中��。
例如��,“屏蔽”屏幕顯示對于普通設備可能是一種適當?shù)木W絡安全(Cybersecurity)控制措施����,以減少個人數(shù)據(jù)的泄露��,但當醫(yī)療設備用于介入使用或顯示生命體征時�����,則“屏蔽”屏幕是一個安全(safety)問題,因此不應實施����;或,在緊急情況下�����,醫(yī)務人員必須能夠沒有限制地使用植入的心臟設備����,但在正常操作條件下需要采取強有力的網絡安全措施。
FDA對醫(yī)療器械網絡安全的風險管理要求
《FD&C法案》第524B(c)條中給出了網絡器械(cyber device)的定義:
a. 包括經申報者確認����、安裝或授權的軟件的器械,這個軟件可以本身是器械或是器械的一部分����,
b. 具有連接互聯(lián)網的能力的器械
c. 包含任何經申報者確認、安裝或授權的易受網絡安全威脅的技術特征的器械�����。
FDA網絡安全最終指南“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”(20230926)
FDA網絡安全最終指南對于器械網絡安全風險管理的要求
FDA指出器械或更大器械系統(tǒng)的網絡安全風險可以通過使用SPDF來合理控制�。SPDF全稱是Secure Product Development Framework�,網絡安全產品開發(fā)框架�,指的是減少產品中漏洞數(shù)量和嚴重性的一組過程。 SPDF包括產品壽命周期的所有方面�,包括設計、開發(fā)�����、發(fā)布���、支持和退市��。
作為使用SPDF的一部分�����,制造商應在獲得新信息時應更新其安全風險管理文檔����,例如在開發(fā)過程中和器械發(fā)布后發(fā)現(xiàn)新的威脅����、漏洞���、資產或不利影響時
執(zhí)行網絡安全(Cybersecurity)風險管理不同于執(zhí)行ISO 14971所述的安全(safety)風險管理�����。執(zhí)行這兩個風險管理的區(qū)別在于網絡安全方面與安全方面本身的區(qū)別���,可能的危害的范圍和風險評估因素可能不同, 需要在如下框架下綜合考慮����。
在作風險評估時���,應該考慮到���,網絡安全和安全風險評估過程之間存在耦合,因此當對一種類型的風險(如安全)����,制造商需要評估對其他類型風險(如網絡安全)的影響,反之亦然����。
FDA建議器械制造商進行安全風險評估和單獨的網絡安全風險評估,以確保更全面地識別和管理患者安全風險。
FDA建議制造商可以根據(jù)AAMI TIR57中描述的來出具網絡安全風險管理計劃和報告���。
網絡安全風險管理報告應包括系統(tǒng)威脅建模��、網絡安全風險評估���、軟件材料清單(SBOM)、組件支持信息����、漏洞評估和未解決異常評估這些文件要素。
除了包含上述文件要素外�,網絡安全風險管理報告還應:
a. 總結風險評估方法和過程,
b. 詳細說明網絡安全風險評估的剩余風險結論�,
c. 詳細說明作為制造商風險管理流程的一部分而開展的風險緩解活動,
d. 提供威脅模型�、網絡安全風險評估、SBOM和測試文件以及其他相關網絡安全風險管理文件之間的可追溯性�����。
附:醫(yī)療器械網絡安全能力的檢測內容參考
序號 | 檢測內容 |
1 | 自動退登 |
2 | 會話管理措施(例如會話超時) |
3 | 審計控制 |
4 | 授權 |
5 | 網絡安全功能配置 |
6 | 網絡安全產品升級 |
7 | 個人數(shù)據(jù)去敏 |
8 | 數(shù)據(jù)備份和災難恢復 |
9 | 緊急訪問 |
10 | 個人數(shù)據(jù)完整性和真實性 |
11 | 惡意軟件檢測/保護 |
12 | 節(jié)點身份驗證 |
13 | 個人身份驗證 |
14 | 物理鎖 |
15 | 系統(tǒng)和操作系統(tǒng)強化 |
16 | 安全和隱私指南 |
17 | 個人數(shù)據(jù)存儲保密 |
18 | 數(shù)據(jù)傳輸加密 |
19 | 傳輸完整性 |
20 | 用于訪問軟件應用程序或設備的憑據(jù) |
21 | 防火墻 |
22 | 應用程序白名單 |
23 | 網絡分段 |
24 | 流量過濾 |
25 | 阻止任意代碼執(zhí)行的內存保護措施 |
26 | 適用強密碼 |
